Note de l'éditeur : Cet article a été initialement publié sur www.vmblog.com.
Poursuite des perturbations de la chaîne d'approvisionnement liées aux pandémies. Augmentation du nombre de violations de données visant des tiers. Un examen réglementaire plus approfondi de la gouvernance d'entreprise. S'il y a quelque chose que les 18 derniers mois nous ont appris, c'est qu'il faut s'attendre à l'inattendu. Mais comment la gestion des risques liés aux tiers doit-elle se préparer à 2022 ?
Sur la base des centaines de conversations que nous avons eues l'année dernière avec des clients et des acteurs du secteur, voici ce à quoi vous devez vous attendre au cours des 12 prochains mois et comment adapter vos programmes en conséquence.
Après une année record d'attaques par ransomware très médiatisées provenant de fournisseurs tiers (par exemple Kaseya et d'autres), l'année 2022 ne fera que s'amplifier, les cybercriminels continuant à perfectionner leurs méthodes d'attaque, à accroître leur sophistication et à suivre l'argent. Les principales cibles seront les tiers qui fournissent des biens et des services aux secteurs de l'automobile, des banques de taille moyenne et de la vente au détail, en raison de la criticité des données et des systèmes auxquels ils ont accès. Les entreprises feraient bien de mettre en place des cadences proactives d'évaluation des risques liés aux événements et de déployer une surveillance continue des brèches et de l'adresse cyber afin d'obtenir un aperçu précoce des attaques potentielles contre leurs écosystèmes tiers.
Prédiction bonus: Malgré l'augmentation des attaques par ransomware contre les organismes de santé, les cybercriminels se donneront bonne conscience en 2022 et cesseront de cibler les hôpitaux en raison du risque de perte de vies innocentes. Après tout, il y a de l'honneur parmi les voleurs.
Peut-être en raison de l'augmentation du nombre de violations de données par des tiers, des perturbations continues de la chaîne d'approvisionnement liées aux pandémies et de la nouvelle visibilité réglementaire en matière d'ESG, la gestion des risques liés aux tiers est un sujet commun aux dirigeants et aux conseils d'administration.
À l'horizon 2022, les dirigeants chercheront des améliorations démontrables axées sur la réduction des risques afin de justifier continuellement les dépenses liées à la gestion des risques liés aux tiers. Cela signifiera un regain d'intérêt pour les mesures qui donnent une image significative des risques liés aux tiers. Les programmes de tiers seront mesurés sur leur capacité à démontrer la remédiation des risques et les progrès éthiques sans entraver les opérations commerciales standard, tout en démontrant le contrôle des coûts et l'efficacité. Cela vous obligera à faire évoluer vos rapports au-delà du nombre d'évaluations que vous avez effectuées pour déterminer le niveau de risque que vous avez éliminé de l'entreprise.
Alors que l'ESG et l'éthique ont souvent été des cases à cocher dans les contrats, une meilleure disponibilité des ensembles de données et des rapports permet aux organisations de tenir les tiers davantage responsables dans ces domaines. Alors que le regain d'intérêt des consommateurs et des pairs pousse à l'approvisionnement éthique, les dirigeants s'attendent de plus en plus à un processus plus robuste avec des mesures significatives pour démontrer les progrès.
À l'horizon 2022, l'approvisionnement éthique sera de plus en plus intégré dans le processus d'évaluation et d'examen plutôt que d'être pris pour argent comptant. Les tiers jouent un rôle important dans la démonstration de changements concrets dans l'éthique de l'entreprise, ce qui constituera un outil de plus en plus commercialisable. Pour faire face à cette tendance en 2022, examinez la manière dont vous évaluez vos tiers. La valeur de la marque de votre entreprise peut-elle résister à une atteinte à sa réputation si un fournisseur manque à ses obligations éthiques ?
Alors que les fournisseurs continuent de faire face à l'exigence irritante d'articuler la même information de différentes manières, ceux qui ont le luxe de refuser le feront de plus en plus. En réponse, des tiers proposeront des documents pré-complétés tels que des rapports ISO ou SOC II et des artefacts de soutien, ce qui mettra la pression sur les organisations pour qu'elles effectuent une analyse plus approfondie et une mise en correspondance avec leurs besoins internes.
Bien que cela puisse sembler préjudiciable si cela ne s'aligne pas sur votre programme de gestion des risques de la tierce partie, il y a un avantage caché que la tierce partie a probablement investi proportionnellement plus d'efforts dans la création de réponses et d'artefacts de qualité. Le défi en 2022 sera donc de traduire ces matériaux plus robustes dans la structure préférée pour permettre une véritable analyse des contrôles. Recherchez des solutions qui permettent une mise en correspondance automatisée des contrôles des risques pour répondre à des exigences multiples.
Alors que les programmes de gestion des risques liés aux tiers continuent de lutter pour le contrôle de leur patrimoine de tiers, certaines organisations commencent à aller au-delà des tiers en considérant les risques posés par leurs tiers. Cette évolution nécessitera de passer d'une vision axée sur la conformité à une vision davantage axée sur les risques.
En 2022, les améliorations technologiques et une plus grande dépendance et sensibilisation à la chaîne d'approvisionnement au sens large signifient qu'il deviendra normal d'évaluer les 4èmes parties en amont et, au minimum, d'envisager leur impact potentiel en cas de perturbation. Les organisations doivent être prêtes à établir une carte des relations qui montre visuellement les interconnexions et les flux de données dans leurs écosystèmes de fournisseurs.
Prédire l'avenir de la gestion des risques de tiers, c'est un peu comme prédire la météo - il suffit de regarder par la fenêtre, mais il faut être prêt à tout. L'étude de ces 10 principales tendances donnera à votre programme TPRM une base solide pour 2022 et au-delà.
##
Brad Hibbert apporte plus de 25 ans d'expérience de direction dans l'industrie du logiciel, en alignant les équipes commerciales et techniques sur la réussite. Il a rejoint Prevalent après avoir travaillé pour BeyondTrust, où il a assumé la direction de la stratégie des solutions, de la gestion des produits, du développement, des services et de l'assistance en tant que COO et CSO. Il a rejoint BeyondTrust via l'acquisition d'eEye Digital Security par la société, où il a contribué au lancement de plusieurs premières sur le marché, notamment des solutions de gestion de la vulnérabilité pour les technologies de cloud computing, de mobilité et de virtualisation.
Avant eEye, Brad a occupé le poste de vice-président de la stratégie et des produits chez NetPro avant son acquisition en 2008 par Quest Software. Au fil des ans, Brad a obtenu de nombreuses certifications industrielles pour soutenir ses activités de gestion, de conseil et de développement. Brad a obtenu un baccalauréat en commerce, une spécialisation en systèmes d'information de gestion et un MBA de l'Université d'Ottawa.